[Обновление: исправлено] Хакеры могут превратить ваш сервер Plex в мощную DDOS-ботнет
Если вам нравится идея создать свой собственный «Netflix» или «Spotify» из множества DVD и компакт-дисков, которые у вас есть, Plex — один из лучших и самых красивых вариантов, которые вы можете выбрать. Plex Media Server уже может быть инструментом следующей мощной DDOS-атаки.
Обновление: вскоре после публикации представитель Plex Карм Лайман сделала следующее заявление:
Исследователи, сообщившие об этой проблеме, не предоставили никаких предварительных сведений, но Plex теперь знает о проблеме и активно работает над ее решением. Эта проблема, по-видимому, ограничена небольшим числом владельцев медиасерверов, которые неправильно настроили свои брандмауэры, разрешив UDP-трафику через порты обнаружения устройств из общедоступного Интернета достигать своих серверов, и, по нашему текущему пониманию, это не позволяет злоумышленнику поставить под угрозу безопасность или конфиденциальность устройства любого пользователя Plex. Plex тестирует простой патч, который добавляет дополнительный уровень защиты для тех серверов, которые могли быть случайно раскрыты, и вскоре выпустит его.
Мы обновим эту статью, как только патч будет доступен.
Второе обновление: патч уже доступен. Plex включил следующее примечание об исправлении:
«(Безопасность) Смягчить потенциальное усиление DDoS, отвечая только на UDP-запросы из локальной сети».
Атака распределенного отказа в обслуживании (DDOS) работает путем переполнения сайта или службы трафиком. Огромный всплеск может вывести из строя сервис, не готовый справиться с волной трафика. Одна из основных причин, по которой DDOS-атаки не стали более распространенными, чем сейчас, заключается в том, что злоумышленникам нужны ресурсы для отправки всего этого трафика.
Вот где в игру вступают серверы Plex Media. Хакеры используют уязвимые серверы Plex Media, чтобы превратить то, что в противном случае было бы слабой DDOS-атакой, в мощную DDOS-атаку. Идея не нова: вместо того, чтобы отправлять небольшой объем трафика, которым злоумышленники могут управлять самостоятельно, непосредственно на свою конечную цель, они направляют его на уязвимые серверы.
Когда они отправляют запросы на уязвимый сервер, он отвечает ответом. Это важно, потому что «ответ» часто представляет собой больший объем данных, чем первоначальный запрос. Затем хакеры обманом заставляют уязвимый сервер отправить этот ответ намеченной цели, то есть создают впечатление, что запрос исходит от сайта, который хакер хочет отключить. Таким образом, небольшое количество трафика превращается в огромное количество трафика, что делает DDOS-атаку более мощной.
По данным Netscout, хакеры решили включить в этот процесс серверы Plex Media. По умолчанию при настройке Plex Media Server он использует протокол GDM (G’Day Mate) для обнаружения других устройств в вашей сети, совместимых с Plex.
Во время этого сканирования, если он обнаружит, что ваш маршрутизатор поддерживает UPNP (универсальный Plug and Play) и SDDP (протокол обнаружения служб), он автоматически настроит ваш маршрутизатор для удаленного доступа. Это фактор удобства, который позволит вам смотреть контент Plex, даже если вы находитесь вдали от дома.
Но, к сожалению, это удобство удваивается как уязвимость — это делает серверы Plex предсказуемой целью для DDOS-атаки. Хакер отправляет небольшой запрос (около 52 байт) через порт Plex, созданный на вашем сервере. Сервер отвечает пакетом данных размером около 281 байта, что почти в пять раз больше исходной атаки.
По данным Netscout, были обнаружены доказательства того, что хакеры уже воспользовались уязвимостью с ноября. Когда охранная фирма просканировала Интернет, она обнаружила, что более 27 000 медиасерверов Plex открыты для атак.
Мы связались с Plex для комментариев, но пока не получили ответа. На форумах Plex сотрудник ответил на ветку, предлагающую изменить настройки порта по умолчанию, чтобы смягчить атаку:
Мы знаем об этих сообщениях и проводим более тщательное расследование. Мы не знали об этом заранее, поэтому сейчас у нас не больше информации, чем у остальных из вас. Изменение портов может быть смягчением, но это, безусловно, безопасность за счет неизвестности. Мы обновим форумы, когда узнаем больше.
По словам сотрудника, Netscout не предоставила Plex должным образом информацию перед публикацией отчета. И изменение вашего порта по умолчанию может смягчить проблему, но хакеры, вероятно, могут адаптировать свою атаку для учета этого действия. Прямо сейчас единственное жизнеспособное решение — отключить SDDP на вашем маршрутизаторе и удаленное воспроизведение на вашем сервере Plex. Но при этом вы потеряете одну из лучших функций Plex.
Мы обновим этот пост, если получим ответ от Plex о постоянном исправлении, поддерживающем функции удаленного воспроизведения.
Источник: Netscout через ZDNet .